Entry Windows 32/64
Transcription
Entry Windows 32/64
NCP Secure Entry Client (Windows 32/64 Bit für Windows 7, Vista und XP) Neue Features von Version 9.2 bis 8.1 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und stellen keine Verpflichtung seitens der NCP engineering GmbH dar. Änderungen zum Zwecke des technischen Fortschritts bleiben der NCP engineering GmbH vorbehalten. Warenzeichen Alle genannten Produkte sind eingetragene Warenzeichen der jeweiligen Urheber. © 2010 NCP engineering GmbH. Technische Änderungen vorbehalten What’s New NCP Secure Entry Client (WIN 32/64) Inhalt Neue Features der Version 9.23 Build 18 gegenüber Version 9.20.................................................... 2 Neue Features der Version 9.2 Build 33 gegenüber Version 9.10 Build 55 ......................................... 2 Neue Features der Version 9.1 gegenüber Version 9.0 .................................................................... 5 Neue Features der Version 9.1 gegenüber 9.04 .......................................................................... 5 Neue Features der Version 9.04 gegenüber 9.03 ......................................................................... 6 Neue Features der Version 9.03 gegenüber 9.01 ......................................................................... 7 Neue Features der Version 9.01 gegenüber 9.0 .......................................................................... 8 Neue Features der Version 9.0 gegenüber Version 8.3 .................................................................... 8 Neue Features der Version 8.3 gegenüber Version 8.2/8.1 ............................................................ 11 Neue Features der Version 9.23 Build 18 gegenüber Version 9.20 FIPS inside Der IPsec Client integriert kryptografische Algorithmen nach FIPS-Standard. Das eingebettete Kryptografiemodul, das diese Algorithmen beinhaltet, ist nach FIPS 140-2 zertifiziert (Zertifikat #1051). Vorteil: Nachweis der Sicherheit durch offizielle Standards Verwenden des Benutzerzertifikats aus dem Windows Zertifikat-Store via CSP Auf Benutzerzertifikate die im Windows Zertifikat-Store enthalten sind kann zur Authentisierung lesend via CSP zugegriffen werden. Die Nutzung dieser Funktionalität ist ausschließlich nach einer erfolgten Benutzeranmeldung am Windows System möglich. Da diese Funktionalität erst nach einer Anmeldung des Benutzers am Windows-System zur Verfügung steht, kann sie nicht zur Domänenanmeldung über VPN eingesetzt werden! Vorteil: Zertifikat lässt sich im vom Betriebssystem vorgesehenen Zertifikatsspeicher Speicher laden Icon für NCP VPN Path Finder Wurde die Verbindung mit dem VPN Path Finder über den Port 443 aufgebaut, wird dies über ein Icon in der Statusanzeige des Monitors (rechts unter dem HQ/Gateway) angezeigt. Vorteil: Die Anwender sehen direkt im Client-Monitor, wenn Sie über die NCP VPN Path Finder Technologie verbunden sind. Neue Features der Version 9.2 Build 33 gegenüber Version 9.10 Build 55 Windows 7 Support (k) Das neue Microsoft Betriebssystem Windows 7 wird ab der Version 9.2 ohne Einschränkungen unterstützt. Damit kann der NCP Secure Entry Client unter allen 32-/64-Bit Windows Betriebssystemen genutzt werden: Windows XP, Windows Vista, Windows 7. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 2 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Unterstützung aller aktuellen Windows Arbeitsplatz-Betriebssystem unter einer einheitlichen Benutzeroberfläche. (Hinweise: Ab der Version 9.2 entfällt der Support für Windows 2000. Die Installation auf Windows 7 erfordert einen Produktschlüssel der Version 9.2. Im Falle eines Updates von Windows Vista auf Windows 7 lässt sich bei einem Client der Version 9.2, der mit einem 9.1-er Schlüssel lizenziert wurde, nur der Monitor starten um die Eingabe eines 9.2-er Schlüssels zu ermöglichen.) VPN Path Finder inkl. Proxy-Support (k) Die NCP VPN Path Finder Technology bewirkt ein automatisches Umschalten auf ein alternatives Verbindungsprotokoll (TCP Encapsulation mit SSL Header über Port 443), wenn Standard IPsec über Port 500 bzw. UDP Encapsulation über einen frei konfigurierbaren Port nicht möglich ist. (In Verbindung mit NCP Secure Server 8.0.) Der Anwender hat auch bei beschränktem Zugang ins Internet (auf den HTTPS-Zielport 443) die Möglichkeit sich via IPsec-Tunneling mit dem Firmennetz zu verbinden. WLAN-Roaming Bewegt sich der Teleworker mit seinem Laptop innerhalb des Empfangsbereichs mehrerer Accesspoints mit derselben SSID, so wird im Falle einer schlechten WLAN-Empfangsleistung automatisch auf einen stärkeren Accesspoint gewechselt. Anwendungen die über den VPN-Tunnel kommunizieren „merken“ davon nichts. Der NCP Secure Entry Client kann innerhalb von Firmennetzen zwischen verschiedenen Accesspoints wechseln (z.B. bei Standortwechsel mit Laptop), ohne eine neue Datenverbindung aufbauen und sich neu am VPN Gateway anmelden zu müssen. D.h. kontinuierlichen Remote Access trotz wechselnder IP-Adresse. Verbesserter Datendurchsatz auf 64 Bit Windows Plattformen. Der Datendurchsatz konnte durch die Optimierung (RWSNT-Dienst) um ca. 20% erhöht werden. Unterstützung der neuesten Intel WLAN Treiber Version 12.4.0.21 und höher. Die neuen Treiber stellen sich nicht mehr als Ethernet- sondern als WLAN-Treiber dar. Das erfordert ggf. eine Deinstallation des bisherigen NCP Secure Entry Clients. Die Neuinstallation kann nach dem Reboot durchgeführt werden, wobei alle bisherigen Einstellungen erhalten bleiben. Unterstützung der neuen Windows 7 Mobile Broadband Treiber (3G/UMTS). Überarbeitete 3G/UMTS-Konfiguration, Providerliste ist über INI-Datei (APN.ini) konfigurierbar Das Konfigurationsmenü wurde umbenannt in GPRS / UMTS (Darin wird auch die UMTS-Konfiguration überarbeitet. Es existieren nun drei Varianten: a) Providerliste (Standardeinstellung) bei der Auswahl des Providers werden der Access Point Name (APN) und die Einwahlnummer vorgeschlagen. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 3 von 14 What’s New NCP Secure Entry Client (WIN 32/64) b) c) APN von SIM Karte es wird kein APN an die SIM-Karte weitergegeben und setzt voraus, dass ein APN in der SIMKarte konfiguriert ist. Benutzerdefiniert; der Anwender kann alle Einwahlparameter manuell konfigurieren. Die GPRS/UMTS-Konfiguration wurde für den Anwender weiter vereinfacht. Überarbeitung WLAN GUI und Feldstärkemessung, Tray Icon Ist „WLAN“ im Client aktiviert, erscheint in der Taskbar das zugehörige Tray Icon. Dieses Icon zeigt für den aktuellen Verbindungsstatus die Feldstärke und Verschlüsselungsart an. Nach einem Mausklick auf das Tray Icon werden alle verfügbaren WLANs angezeigt. Durch die Auswahl eines bestimmten WLANs wird der Verbindungsaufbau gestartet oder, sofern noch kein WLAN-Profil für dieses Netz besteht, der WLAN-Verbindungsassistent gestartet. Der WLAN-Assistent erleichtert die Profil-Erstellung und automatisiert den Verbindungsaufbau zu einem neuen WLAN. Die Verschlüsselungsart (WEP, WPA, WPA2) wird dabei automatisch erkannt. Das WLAN-Handling wurde für den Anwender weiter vereinfacht. Statusanzeige beim Scannen von WLANs und beim Verbindungsaufbau (animierte Grafik) Ist WLAN aktiviert so wird periodisch nach allen verfügbaren WLANs gescannt. Während des Scanvorganges ist das entsprechende Icon animiert. Ein Verbindungsaufbau zu einem Accesspoint wird durch einen blinkenden, gelben Punkt, links neben der gewählten SSID des WLANs, angezeigt. Ein grüner Punkt zeigt die bestehende WLAN-Verbindung an. Verwenden mehrere WLAN-Accesspoints dieselbe SSID, so erscheint neben der SSID zusätzlich ein kleines rotes Dreieck. Das WLAN-Handling wurde für den Anwender weiter vereinfacht. Tipp des Tages Mit jedem Monitorstart erscheint ein neuer „Tipp des Tages“ in der Reihenfolge in der die Tipps in der zugehörigen INI-Datei abgelegt sind (im Verzeichnis Tipps). Darin ist die zugehörige HTMLAntwortseite verlinkt, die beim Klicken auf den Tipp durch den Standardbrowser dargestellt wird. Der Anwender wird kontinuierlich über das Leistungspotential seines Telearbeitsplatzes informiert. Profil-Export Das aktuell ausgewählte Profil kann mittels dieser Funktionalität exportiert und bei einem anderen NCP Secure Entry Client importiert werden. Zertifikate müssen allerdings separat kopiert werden. Der Anwender kann sein VPN Profil auf einfachste Weise von einem Rechner auf einen weiteren übernehmen. Budgetmanager mit Historie für die letzten zwölf Monate Dem Anwender stehen bei Bedarf alle relevanten Informationen seiner Datenkommunikation innerhalb der letzten zwölf Monate zur Verfügung. Vodafone Websessions Unterstützung Easy-to-Use auch für Vodafone-User. Der Anwender kann sich mit nur einem Klick auf „Verbinden“ an Vodafone Websessions anmelden und den VPN-Tunnel aufbauen. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 4 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Modernisierung der Benutzer-Oberfläche Die grafische Benutzeroberfläche wurde weiter optimiert und den Markterfordernissen angepasst. Wesentliche Anpassungen sind: • • • Einheitlicher Verbinden/Trennen-Schalter Weltkarte in Abhängigkeit der Zeitzone In Abhängigkeit der am Rechner konfigurierten Zeitzone wird ein entsprechender Ausschnitt der Weltkarte angezeigt: Europa, Amerika, Asien/Australien. Weltkarte mit Tag/Nacht-Grenze in Abhängigkeit von der Uhrzeit In Abhängigkeit von der Uhrzeit wird über der Weltkarte die Tag/Nachtgrenze dargestellt. Die Position wird alle 10 Minuten aktualisiert. Verbessertes Log-Handling. Bei Markierung einer Zeile im Monitor „Log“ stoppt das Log. Das erleichtert die Durchsicht und Überprüfung von Log-Ausgaben direkt im Monitor erheblich. Beschleunigung des Verbindungsaufbaus Das wird durch ein optimiertes Verhalten des Clients im getrennten Zustand im DHCP-Modus und manuellem Verbindungsaufbau erreicht. Erweiterung der Encryption- und Hash Optionen. Diffie-Hellmann-Gruppe 14, SHA-256, SHA-384 und SHA-512. Weitere Änderungen: • Die Konfigurationsgruppe "VPN IP Networks" heißt nun "Split Tunneling". • Optimierte Darstellung der verfügbaren WLAN Netze. • Setup Routine ist auch in Französisch und Polnisch verfügbar. • Die maximale Anzahl der remote VPN Netze wurde auf 250 erweitert. • IPsec Optimierungen: Weitere Verbesserung der Kompatibilität. • Entlastung des Systems durch Optimierung der Personal Firewall bei Verwendung anwendungsbezogener Regeln. • Verbessertes Menü-Handling bei der Sprachauswahl. Neue Features der Version 9.1 gegenüber Version 9.0 Neue Features der Version 9.1 gegenüber 9.04 Budget Manager (k) Der Budget Manger dient zur Überwachung der Verbindungskosten über die verfügbaren Verbindungsarten, im Fokus stehen hierbei UMTS- oder GPRS- sowie WLAN-Verbindungen. Hierzu werden per Konfiguration Volumen- bzw. Zeitlimits vorgegeben. Der Anwender kann bereits vor einer Überschreitung der vorgegebenen Limits durch Hinweise gewarnt werden. Abhängig von den Einstellungen können weitere Verbindungsaufbauten bei überschrittenen Schwellwerten verboten werden. Ein weiterer Vorteil des Budget Managers, neben der Kostenkontrolle, ist das Einschränken bzw. Unterbinden von Roaming. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 5 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Erweiterte Zertifikatskonfiguration (k) In der Konfiguration des Clients kann nun eine Vielzahl individueller Zertifikatseinstellungen hinterlegt werden. Diese können dann innerhalb der Zielsysteme unabhängig voneinander ausgewählt werden, sodass die Möglichkeit besteht gegen verschiedene VPN-Gegenstellen mit unterschiedlichen Zertifikaten zu authentifizieren, z.B. zu VPN Gateway 1 mit Softzertifikat und zu Gateway 2 mit einem auf Smartcard gespeicherten Zertifikat. Zielsystem-Filter Die konfigurierten Zielsysteme können zu Gruppen zusammengefasst werden, die dann über ein Kontextmenü des Client Monitors bequem ausgewählt werden können. Dadurch kann die Übersichtlichkeit der vorhandenen Verbindungsprofile für den Anwender erhöht werden, da er nur die aktuell gewünschten Einträge einblenden lassen kann. Client Status Info Center Mit dem Client Status Info Center lässt sich der User Helpdesk optimieren. Die Log- und Fehlermeldungen sind überarbeitet und deren Aussagekräftigkeit verbessert. Neben einer Testoption, um zu bestimmen, ob eine vorhandene Internetverbindung besteht (im LANund WLAN-Umfeld), steht zusätzlich eine Übersicht mit folgenden Informationen zur Verfügung: • • • • • • Client Version (inkl. Build-Nummer) Aktueller Verbindungsstatus (verbunden, getrennt, getrennt mit Fehler) Status der Client Dienste Aktuelle Zertifikatskonfiguration (inkl. Gültigkeit) VPN Benutzer-ID Benutzer für Management Server-Verbindung Neue Features der Version 9.04 gegenüber 9.03 Import von PCF-Dateien Über das Monitormenü des Entry Clients "Konfiguration / Profile importieren" können mit Hilfe eines Assistenten Konfigurationsdaten für die Profile eingelesen werden. Diese Profileinstellungen können vom jeweiligen Zielsystem als unterschiedliche Dateitypen erstellt werden. Sind in diesen Profileinstellungen einzelne Parameter nicht vorhanden (z. B. Passwort), werden diese vom Assistenten beim Import automatisch abgefragt. Der NCP Entry Client unterstützt folgende Dateitypen: *.ini, *.pcf, *.wgx und *.spd. WISPr für komfortable Anmeldung an T-Mobile Hotspots Der NCP Secure Entry Client 9.04 Build 60 unterstützt die neue Hotspot-Anmeldetechnik über das WISPr-Protokoll (Wireless Internet Service Provider roaming). Damit ist die Kompatibilität zu T-Mobile Hotspots in Deutschland, Österreich, Niederlande, Tschechien und Großbritannien, sowie in Lufthansa Lounges einiger internationaler Flughäfen gewährleistet. Die Konfiguration erfolgt über die Eingabe der Zugangsdaten in das Script eines WLAN-Profils. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 6 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Roaming mit IPSsec-Verbindungen Wird dem Client während einer Session mit wireless LAN- oder LAN-Verbindung über DHCP eine neue IP-Adresse zugewiesen wird die IPSec-Verbindung währenddessen nicht unterbrochen und muss nicht neu aufgebaut werden. Voraussetzung: NCP Secure Server >= 7.02 Build 25. SIM PIN in Konfiguration speichern Im Dialog zur Eingabe der SIM PIN für GPRS/UMTS-Karten wurde die Option "SIM PIN in Konfiguration speichern" hinzugefügt. Wird diese Funktion genutzt, so wird die einmal eingetragene SIM PIN für jedes Zielsystem mit dem Verbindungsmedium GPRS/UMTS verwendet und muss nicht mehr eigens eingegeben werden. Verbessertes UMTS-Karten-Handling Das Verhalten des Secure Clients in Verbindung mit UMTS-Karten wurde verbessert, insbesondere nach Rückkehr des Systems aus dem Standby, bei Fehlverhalten oder Nichtverfügbarkeit eine Karte. Darüber hinaus erkennt der Client bei mehreren aktiven UMTS-Geräten automatisch das Device mit gesteckter SIM-Karte. Neue Features der Version 9.03 gegenüber 9.01 64-Bit Betriebssystem (k) Die neue Client Software unterstützt das 64-Bit Betriebssystem von Microsoft Windows XP. Lizenzschlüssel für Windows Betriebssysteme Für den Einsatz der Client Software unter den Windows Betriebssystemen XP 64 Bits und Vista 64 Bits sowie Vista 32 Bit wird ein Lizenzschlüssel ab der Version 9.0 benötigt. Treibersignierung für Windows XP Der NCP Intermediate-Treiber wurde für die Windows-Betriebssysteme XP 32 Bit und XP 64 Bit signiert. Integriert ist die 2-Faktor-Authentisierungslösung OTP Mobile OTP Mobile von T-Systems und T-Mobile nutzt das meist vorhandene Mobiltelefon für eine 2-FaktorAuthentisierung. Auf Knopfdruck berechnet es - ganz ohne Mobilfunkverbindung - ein einmalig gültiges Passwort, das der Nutzer in die Logon-Maske der Anwendung einträgt. Unterstützung von Zertifikaten mit 4096 Bit Schlüssellänge Für die Benutzer-Authentisierung können Server- und Client-seitig Zertifikate mit einer Schlüssellänge von 4096 Bits eingesetzt werden. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 7 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Neue Features der Version 9.01 gegenüber 9.0 64-Bit Betriebssystem Die neue Client Software unterstützt das 64-Bit Betriebssystem von Microsoft Windows Vista. Neue Features der Version 9.0 gegenüber Version 8.3 Betriebssystem Windows Vista (k) Mit der Version 9.0 des NCP Secure Entry Clients wird neben den Betriebssystemen Windows 2000 und Windows XP auch das Betriebssystem Windows Vista unterstützt. Die Oberfläche des Clients wurde dem Betriebssystem Windows Vista optisch angepasst, ohne den Zusammenhang zwischen den Symbolen und dem funktionalen Ablauf von Verbindungsaufbau und Authentisierung zu ändern. Die Installation der Client Software 9.0 unter Microsoft Vista erfordert einen Lizenzschlüssel für diese Version. Unter einem älteren Lizenzschlüssel kann diese Software nicht betrieben werden. Die Eingabe eines älteren Lizenzschlüssels verursacht eine Fehlermeldung. Neue Benutzeroberfläche (Monitor) Die Oberfläche des Clients wurde dem Betriebssystem Windows Vista optisch angepasst. Der mit Symbolen unterlegte funktionale Ablauf von Verbindungsaufbau, Verbindungsabbau und Authentisierung wurde in seiner Gestaltung noch übersichtlicher. Hinweistexte (Tooltips) erklären die einzelnen Symbole und erleichtern die Fehlersuche im Störungsfall. Der Status der integrierten Personal Firewall wird im Icon innerhalb der Taskleiste dargestellt. Integrierte Unterstützung von weiteren Multifunktionskarten (Mobile Connect Cards) Ist eine Multifunktionskarte gesteckt, die vom Client erkannt wurde, wird im Monitormenü "Verbindung" der Menüpunkt "Multifunktionskarte" sichtbar. Zu den bereits unterstützten Multifunktionskarten* sind neu hinzugekommen: • integrierte Karte des Lenovo Notebooks (Sierra Chipset) • Vodafone EasyBox USB-Adapter für UMTS/GPRS. Über den Menüpunkt "Multifunktionskarte" stehen folgende Funktionen zur Verfügung: • Netzsuche • UMTS bzw. GPRS aktivieren • SIM PIN eingeben bzw. ändern Die Funktionen "Netzsuche" und "UMTS bzw. GPRS aktivieren" können auch über das Feld zur grafischen Anzeige der Signalstärke ausgelöst werden. Dieses Feld wird immer dann geöffnet, wenn ein Profil mit der Verbindungsart "UMTS/GPRS" aus den Profil-Einstellungen selektiert wurde. Der PIN-Dialog zur Eingabe der SIM PIN erscheint immer dann, wenn in einem Profil der Mediatyp "UMTS/GPRS" konfiguriert und eine Multifunktionskarte gesteckt wurde, die der Client erkennt. *) siehe Kompatibilitätsliste unter: http://www.ncp-e.com/de/support/kompatibilitaeten/umts-3ghardware.html NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 8 von 14 What’s New NCP Secure Entry Client (WIN 32/64) WLAN-Panel Die Anzeige des WLAN-Panels kann so konfiguriert werden, dass sie permanent den aktuellen WLANStatus anzeigt, unabhängig vom genutzten Übertragungsmedium. Der Teleworker hat damit die Möglichkeit, laufend die Feldstärke zu überprüfen und den Mediatype nach Bedarf zu wechseln. Verfeinerte Zertifikatsüberprüfung bei „automatischer Hotspot-Anmeldung“ (mittels Script) Ab sofort können auch die eingehenden Server-Zertifikate bei der HTTP-Authentisierung am Hotspot überprüft werden. Dies erhöht das Sicherheitsniveau mobiler Telearbeitsplätze und verringert die Gefahr von Man-in-the-Middle Attacken. EAP-Authentisierung Erweiterung der Konfiguration: Um die EAP-Anmeldung zu beschleunigen, kann der Administrator vorgeben, auf welchen Medien die EAP-Authentisierung durchgeführt werden soll. Hierzu kann in den "EAP-Optionen" des Monitor-Menüs angegeben werden, ob die EAPAuthentisierung nur über WLAN-, LAN- oder alle Netzwerkkarten erfolgen soll. Die gewählte Einstellung gilt jeweils global für alle Einträge des Telefonbuchs. Die EAP-Authentisierung kann in einer Aktivierungsbox wie folgt eingestellt werden: • Deaktiviert • Für alle Netzwerkkarten • Nur für WLAN-Karten • Nur für LAN-Karten EAP-Authentisierung vor einer Domänenanmeldung Dieser Parameter ermöglicht, dass bereits vor dem Zielauswahl-Dialog in der Gina die EAPAuthentisierung durchgeführt und die PIN abgefragt werden, unabhängig davon, ob zur späteren Einwahl EAP benötigt wird oder nicht. Dieser Parameter kann dann verwendet werden, wenn die NCP Gina nur für die EAP-Authentisierung eingesetzt werden soll, ohne dass eine Verbindung zu einem Zielsystem aufgebaut wird (d.h. Verwendung als reinen EAP-Client). Die "Logon-Optionen" des Monitor-Menüs wurden hierzu um den Parameter "EAP-Authentisierung vor Zielauswahl durchführen" ergänzt EAP für WPA-Verschlüsselung (k) Im Monitormenü kann unter "Konfiguration / WLAN-Profile" für die WPA-Verschlüsselung unter "Schlüsselverwaltung" die Option "EAP" hinzugefügt werden. Dies bewirkt, dass der Schlüssel, der während der EAP-Verhandlung erzeugt wurde, weiter für die WPA-Verschlüsselung verwendet wird. D.h. es wird WPA mit Zertifikaten unterstützt. Voraussetzung: Konfiguration eines Zertifikates. Unabhängig von der EAP-Konfiguration wird hier immer EAP mit Zertifikat genutzt. Erweiterung der IPSec Hash-Algorithmen Sowohl für die IKE-Richtlinien als auch für die IPSec-Richtlinien können zur Authentisierung die Algorithmen SHA 256, SHA 384 und SHA 512 Bit eingesetzt werden NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 9 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Anwendungsausführung für ein spezifisches Verbindungsprofil Diese Feature ermöglicht, eine Applikation in Abhängigkeit vom Verbindungsprofil nach dem Verbindungsaufbau automatisch zu starten. HotSpot-Anmeldung Die HotSpot-Anmeldung der 2. Generation erfolgt über das Monitor-Menü "Verbindung / HotSpotAnmeldung" und erlaubt in der erweiterte Konfiguration die Einstellung eines alternativen Browsers und einer Default Startseite welche bei bestehender Internet Verbindung aufgerufen wird. Der alternative Browser lässt sich speziell für die Anforderungen an HotSpots konfigurieren, d.h. es wird kein Proxy Server konfiguriert und alle aktiven Elemente (Java, Javascript, ActiveX) werden deaktiviert. (Der alternative Browser ist nicht Bestandteil der Client Software!) Darüber hinaus kann der MD5-Hash-Wert der Browser-Exe-Datei ermittelt und in das Feld "MD5-Hash" eingetragen werden. Auf diese Weise wird sichergestellt, dass nur mit diesem Browser eine HotSpot-Verbindung zustande kommt. Projekt-Logo im Client Monitor Der Client Monitor wurde um ein frei gestaltbares Grafikfeld z.B. für Kundenlogo erweitert. Das sog. Projekt-Logo erscheint in einem Panel des Clients ganz unten über die gesamte Breite des Monitors. Für das Logo muss lediglich eine Ini-Datei (ProjectLogo.ini) angelegt werden, in der folgende Parameter angegeben werden können: • Projekt-Logo für kleine Schriftarten • Projekt-Logo für große Schriftarten • Info-Text (ToolTip) wenn sich der Mauszeiger über dem Logo befindet • HTML-Datei (frei gestaltbar) wenn ein Maus-Click auf das Logo erfolgt. Informationsfenster „Verfügbare Verbindungsarten“ Im Monitor-Menü unter "Verbindung" kann ein Informationsfenster zu den verfügbaren Verbindungsarten geöffnet werden. Dieses Fenster dient ausschließlich der Benutzerinformation über die zur Verfügung stehenden Netze und das aktuell genutzte Übertragungsmedium. Darüber hinaus werden im Fehlerfall in diesem Fenster Fehlermeldungen im Klartext angezeigt. Ob sich das Fenster bei fehlgeschlagenem Verbindungsaufbau automatisch öffnen soll oder nicht, kann per Konfiguration variabel festgelegt werden. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 10 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Neue Features der Version 8.3 gegenüber Version 8.2/8.1 ------------------------------------------------------------------------------- Integrierte WLAN-Konfiguration Die Konfiguration eines Zielsystems mit Verbindungsart WLAN ermöglicht das direkte Ansteuern und Konfigurieren der WLAN-Karte. Die Installation der Managementsoftware entfällt (nur unter Windows 2000/XP). Automatische Medienerkennung (k) Diese Verbindungsart erlaubt ein einfaches Handling in wechselweise genutzten Übertragungsmedien. Der Client erkennt automatisch die aktuell verfügbaren Verbindungsarten und wählt die jeweils schnellste aus. In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt: 1. LAN, 2. WLAN, 3. DSL, 4. UMTS/GPRS, 5. ISDN, 6. MODEM. Die verfügbaren und genutzten Verbindungsarten werden dem Benutzer grafisch angezeigt. Friendly Net Detection (FND) Mit FND erkennt der NCP Secure Entry Client automatisch, ob er sich in einem Friendly Net (FN) befindet oder nicht. Was ein FN ist, wird vom Administrator in den Firewall-Einstellungen des Monitors festgelegt. Die Signalisierung eines FN erfolgt im Monitor, indem das Firewall-Icon grün erscheint. Integrierte intelligente Automatismen in der Personal Firewall ersetzen manuelle Eingriffe. Der Anwender muss sich nicht um die Einstellung der Personal Firewall kümmern. Je nach Kommunikationsumgebung greift der NCP Secure Entry Client dynamisch auf ein passendes Firewall-Regelwerk zu. Versehentliches Benutzen falscher Firewall-Konfigurationen und damit Attacken auf das Firmennetz werden verhindert. Priorisierung von Voice over IP (VoIP) Der Secure Entry Client ermöglicht eine sichere Sprachkommunikation in einem IPSec-VPN (VoIPSec). Ein integriertes Bandbreitenmanagement und Traffic Shaping garantiert die erforderlichen Quality of Service (QoS). Somit werden Sprachdaten verzögerungs- und verzerrungsfrei gesendet und empfangen. Chipkartenunterstützung Folgende Chipkarten werden zusätzlich direkt über die PC/SC- oder CT-API-Schnittstelle unterstützt: • • • • Signtrust NetKey 2000 TC Trust (CardOS M4) Telesec PKS SigG NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 11 von 14 What’s New NCP Secure Entry Client (WIN 32/64) EAP-Authentisierung Standardmäßig erfolgt die EAP-Authentisierung vor dem Verbindungsaufbau zum VPN Gateway. Soll EAP genutzt werden, ohne dass anschließend eine Verbindung über den Client (reiner EAP Client) aufgebaut werden soll, muss diese Funktion aktiviert werden. Wird EAP mit Zertifikat eingesetzt, erscheint der PIN-Dialog zur Authentisierung an den Netzwerkkomponenten. Danach kann die Zielauswahl erfolgen. Wird die Funktion nicht aktiviert, findet die EAP-Authentisierung erst nach der Zielauswahl statt. Initialisierungszeit nach Netzwerk-Logon Zwischen Netzanmeldung und Domänenanmeldung kann Windows eine gewisse Initialisierungszeit benötigen. Diese Vorbereitungszeit für die Domänenanmeldung kann hier aktiviert und eingestellt werden. Die Windows-Anmeldung findet erst nach der hier eingestellten Initialisierungs-Zeit nach dem Verbindungsaufbau statt. Der Standardwert beträgt 45 Sekunden und kann nach Bedarf verändert werden. HTTP-Authentisierung (k) Die "HTTP-Authentisierung" gestattet eine automatische scriptgesteuerte Anmeldung mobiler Nutzer an Hotspots (auch DSL). Wenn der Access Point einen HTTP-Redirect ausführt, kann die Eingabe von Benutzername und Passwort in einem Browser-Fenster entfallen. Der Benutzer baut die Verbindung zum Hotspot automatisch auf, wenn die HTTP- Anwendung aktiviert ist. Eine Message-Box weist den Benutzer darauf hin, dass diese Verbindung gebührenpflichtig ist und er die Vertragsbedingungen des Hotspot-Betreibers akzeptiert. Unterstützung von UDP-Encapsulation Dieses Feature erlaubt den UDP-Port für die IPSec-Gegenstelle frei zu wählen. Der Vorteil ist, dass IPSec-Kommunikation auch hinter Firewalls möglich ist, die nicht die Standard-IPSec-Ports freigeschaltet haben z.B. Port 80. Unterstützung von Multifunktionskarten für UMTS/GPRS Ist eine Multifunktionskarte für UMTS/GPRS installiert, erscheint bei der Verbindungsart "GPRS/UMTS" ein zusätzliches Feld über das die Feldstärke, die Verbindungsart (UMTS oder GPRS) und das Netz angezeigt werden. Zusätzlich kann die aktuelle Verbindungsart umgeschaltet und das Netz gewechselt werden. Menüpunkt zur Eingabe der SIM PIN für Multifunktionskarten Das Menü für die Multifunktionskarte wurde um den Punkt "SIM PIN Eingabe" erweitert. Der Menüpunkt ist nur aktiv, wenn die SIM PIN nicht konfiguriert oder nicht eingegeben wurde. PIN-Handling für SIM überarbeitet Für die Unterstützung der Multifunktionskarte (UMTS/GPRS) wurde das PIN-Handling für die SIM komplett überarbeitet. Es erfolgt automatisch die notwendige Aufforderung zur Eingabe der PIN bzw. PUK. Wird die Eingabe der PIN/PUK abgebrochen, kann diese später über das Menü aufgerufen werden. Zusätzlich kann über das Menü die aktuelle PIN der SIM geändert werden. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 12 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Log-Eintrag bei Verbindungsabbau (Grund des Abbaus) Wird eine bestehende Verbindung abgebaut, wird ins Logbuch des Clients ein Log-Eintrag mit dem Grund des Verbindungsabbaus geschrieben. Log-Eintrag bei Verbindungsabbau (Status der Feldstärke) Wird eine bestehende Verbindung abgebaut, wird ins Logbuch des Clients ein Log-Eintrag mit den letzten Statuswerten der Feldstärke für UMTS/GPRS geschrieben. Personal Firewall Die bisher verfügbare „erweiterte Firewall“ wurde grundlegend überarbeitet und verbirgt sich nun hinter der schlichten Bezeichnung „Firewall“ im Konfigurationsmenü des Monitors. Dem Secure Client steht mit der neuen Version eine vollständige und umfassende Personal Firewall zur Verfügung, die neben maximaler Sicherheit auch in punkto Bedienungsfreundlichkeit keine Wünsche offen lässt. Natürlich ist sie als fester Bestandteil perfekt auf die VPN Client Software abgestimmt. Die Firewall-Mechanismen sind optimiert für Remote Access-Anwendungen und werden bereits beim Start des Rechners aktiviert. D.h. im Gegensatz zu VPN-Lösungen mit eigenständiger Firewall ist der Telearbeitsplatz bereits vor der eigentlichen VPN-Nutzung gegen Angriffe geschützt. Auch im Fall einer Deaktivierung der Client-Software ist der vollständige Schutz des Endgerätes gewährleistet. Die Firewall erlaubt die Erstellung von Regeln nach dem Prinzip der Stateful Packet Inspection. Darüber hinaus können neben Paketfiltern auch anwendungsabhängige Filter-Regeln definiert werden. Zusätzlich ist die Firewall in der Lage bekannte von unbekannten und damit nicht vertrauenswürdigen Netzwerken zu unterscheiden und je nach Anbindung mit dem passenden Regelsatz zu arbeiten. Automatische HotSpot-Erkennung Damit der remote Client in jeder Phase des Verbindungsaufbaus auch in WLANs und an Hotspots ohne Zutun des Benutzers gegenüber jeglichen Attacken geschützt ist, wurde die Firewall fest in die Secure Client-Software integriert. Sie verfügt über intelligente Automatismen für eine sichere HotspotAnmeldung. Funktionsbeschreibung: Befindet sich ein Benutzer mit seinem Endgerät im Empfangsbereich eines öffentlichen WLAN, wählt er im Hauptmenü "Verbindung" den Menüpunkt "HotSpot-Anmeldung". Der Client sucht daraufhin automatisch den Hotspot und öffnet die Website zur Anmeldung im Standard-Browser. Nach erfolgreicher Eingabe der Zugangsdaten und Freischaltung durch den Betreiber, kann die VPNVerbindung z.B. zur Firmenzentrale aufgebaut und sicher wie an einem Büroarbeitsplatz kommuniziert werden. Damit der PC bei der Anmeldung im WLAN zu keiner Zeit angreifbar ist, gibt die Firewall dynamisch die Ports für http bzw. https für die Anmeldung bzw. Abmeldung am Hotspot frei. Dabei ist nur Datenverkehr mit dem Hotspot-Server des Betreibers möglich. Nicht angeforderte Datenpakete werden abgewiesen. Auf diese Weise ist garantiert, dass ein öffentliches WLAN ausschließlich für die VPN-Verbindung zum zentralen Datennetz genutzt wird und kein direkter Internet-Zugriff erfolgt. Die direkte Kommunikation zum Internet unter Umgehung des VPN-Tunnels ist ausgeschlossen, aufgrund der oben beschriebenen dynamischen Firewall-Regeln, die von der integrierten Personal Firewall des Clients selbständig gesetzt werden. Für die Anmeldung über den Standard-Browser am Hotspot ist zu beachten, dass eventuell eingetragene Proxy-Einstellungen angepasst bzw. deaktiviert werden müssen. Sollte keine Hotspot-Anmeldung durchgeführt werden, wird dies durch die Meldung "Hotspot konnte nicht gefunden werden" mitgeteilt. NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 13 von 14 What’s New NCP Secure Entry Client (WIN 32/64) Chipkartenunterstützung Unterstützung der Datev-, IICS- und Telesec PKS SigG- Chipkarte. Der Client unterstützt diese Chipkarten direkt über die PC/SC-Schnittstelle. Domain Name Neuer Parameter "Domain Name" im Telefonbuch unter "DNS/WINS". Im Telefonbuch des Secure Clients kann unter "DNS/WINS" neben einem DNS/WINS-Server auch ein "Domain Name" angegeben werden. Deflate-Kompression Bei IPSec wird als Kompression jetzt auch "Deflate" unterstützt. In der IPSec-Richtlinien-Konfiguration kann unter den Vorschlägen nach Selektion des Protokolls "Comp" (Kompression) zwischen "LZS" und "Deflate" gewählt werden. Installationsverzeichnis In der benutzerdefinierten Installation kann ein beliebiges Installationsverzeichnis für die Software gewählt werden. Dies ist insbesondere dann wichtig, wenn der Benutzer keine Rechte auf das SystemRoot-Verzeichnis hat. Firewall bei der Installation aktivieren In der benutzerdefinierten Installation kann die Firewall-Funktion dauerhaft aktiviert werden. Dies entspricht im Telefonbuch der Link Firewall-Einstellung "Aktivierung = immer". Wird diese Einstellung während der Installation vorgenommen, so gilt sie global für alle Zielsysteme und zudem auch wenn der Client gestoppt ist. In den Einstellungen der Firewall im Monitor, die immer global gelten, ist daher die Option "Firewall bei gestopptem Client weiterhin aktivieren" eingeschaltet und nicht änderbar. Eine Deaktivierung der Firewall ist nur möglich wenn die Client Software deinstalliert und danach neu installiert wird. Einsatz von EAP 802.1x Zur Port-Authentisierung im WLAN und an Switches unterstützt der Client EAP-MD5/TLS. Dadurch ist ein separater EAP-Client überflüssig. EAP-MD5: Benutzername und Passwort werden zur Authentisierung genutzt. Beide Größen können auch vom Zertifikat bezogen werden, das für die VPNVerbindung genutzt wird. EAP-TLS: Zertifikate werden genutzt und aus der NCP-ZertifikatsKonfiguration gelesen. EAPOL KEY (Dynamic WEP key) wird unterstützt. Statefull Packet Inspection Statefull Packet Inspection (SPI) ist immer aktiv. Dies bedeutet, dass SPI automatisch auch bei Verbindungen ohne VPN, z.B. Provider-Verbindungen, eingesetzt wird. XAUTH-Protokoll Das XAUTH-Protokoll kann auch für OTP mit Netscreen eingesetzt werden. (k) = kostenpflichtig NCP engineering GmbH ▪ Dombühler Str. 2 ▪ D-90449 Nürnberg Telefon +49 911 99 68 – 0 ▪ E-Mail: info@ncp-e.com Seite 14 von 14